Stream cipher. Cifrari simmetrici. Stream cipher. Stream cipher. I cifrari simmetrici possono essere:! Cifrari a blocchi: !

Transcript

1 Stream cipher Alfredo De Santis Dipartimento di Informatica ed Applicazioni Università di Salerno Marzo Cifrari simmetrici I cifrari simmetrici possono essere:! Cifrari a blocchi:! trasformazione di grandi blocchi del testo in chiaro! Stream Cipher:! trasformazione, dipendente dal tempo, di singoli caratteri del testo in chiaro 1 Stream cipher! Cifra il messaggio un byte (o bit) alla volta! Utilizza una sequenza (keystream) pseudo-casuale generata a partire dalla chiave (e dal messaggio)! Cifra il messaggio mediante la keystream Stream cipher K Generatore di byte pseudocasuali K Generatore di byte pseudocasuali Testo in chiaro M 0 M 1 M 2 M 3 M i Keystream z 0 z 1 z 2 z 3 z i Testo cifrato C 0 C 1 C 2 C 3 C i Flusso di dati z Flusso di dati cifrati z Flusso di dati Cifratura Decifratura Su alfabeto binario: C i = M i XOR z i 2 3

2 Stream cipher Molto più veloci dei cifrari a blocchi! Poche linee di codice! Operazioni semplici Per complicare la crittoanalisi! keystream con lungo periodo (più tardi inizia a ripetersi, meglio è)! keystream con le stesse caratteristiche di una sequenza casuale. Ad esempio:! Dovrebbe avere lo stesso numero di 0 e di 1! Se vista come sequenza di byte, ciascuno dei 256 valori possibili dovrebbe apparire lo stesso numero di volte Stream cipher Descriveremo:! Cifrario autokey! LSFR ()! 4 5 Cifrario Autokey Testo in chiaro lettere 0, 1,, 25 Keystream z 0 = K, z i = M i-1 per i=1,2, Cifrario Autokey Proviamolo insieme, collegandoci al link! sicurezza0809/streamciphers/frameiniziale.html Testo cifrato C i = M i + z i mod 26 Esempio con chiave k=5 testo in chiaro: CIAO ( ) keystream: cifrato: ! HKIO chiave 6 Barbara Masucci - DIA Università di Salerno 7

3 Cifrario Autokey Cifrario Autokey known ciphertext attack Testo in chiaro lettere 0,1,, 25 Keystream z 0 = K, z i = M i-1 per i=1,2, Testo cifrato C i = M i + z i mod 26 Testo in chiaro M 0 M 1 M 2 M 3 M i Keystream K M 0 M 1 M 2 M i-1 Testo cifrato C 0 C 1 C 2 C 3 C i Quanto è sicuro? C 0 = M 0 + K mod 26 C i = M i + M i-1 mod 26, i=1,2, 8 9 Cifrario Autokey known ciphertext attack Cifrario Autokey known ciphertext attack Testo in chiaro M 0 M 1 M 2 M 3 M i Keystream K M 0 M 1 M 2 M i-1 Testo cifrato C 0 C 1 C 2 C 3 C i C 0 = M 0 + K mod 26 C i = M i + M i-1 mod 26 Solo 26 chiavi! 10 11

4 m-1 z = i+m c j i+ j j=0! z mod 2 i = 0,1, 2,...! Ricorrenza lineare di grado m! Coefficienti c 0 c 1 c m-1 (costanti binarie predeterminate) Fissati m coefficienti c 0 c 1 c m-1 m-1 z = i+m! jz mod 2 i = 0,1, 2,... j=0 c i+ j Chiave: i valori di inizializzazione k 0 k 1 k m-1! Inizializzazione: z 0 = k 0, z m-1 = k m-1! Implementazione hardware efficiente e i coefficienti c 0 c 1 c m-1 Testo in chiaro M 0 M 1 M 2 M 3 M 4 Keystream z 0 z 1 z 2 z 3 z 4 Testo cifrato Y 0 Y 1 Y 2 Y 3 Y 4 Esempio Y i =M i!z i m=4 z i+4 = z i + z i+1 mod 2 i=0,1,2, z i+4 = z i + z i+1 mod 2 i=0,1,2, 1 bit output Inizializzazione: z 0 = 1 z 1 = 0 z 2 = 0 z 3 = 0 Keystream: Inizializzazione: z 0 = 1 z 1 = 0 z 2 = 0 z 3 =

5 z i+4 = z i + z i+1 mod 2 i=0,1,2, z i+4 = z i + z i+1 mod 2 i=0,1,2, z i+4 z 0 = z i z i+1 z i+2 z i+3 Inizializzazione: z 0 = 1, z 1 = 0, z 2 = 0, z 3 = 0 Inizializzazione: z 0 = 1, z 1 = 0, z 2 = 0, z 3 = 0 Keystream di periodo 15: streamciphers/frameiniziale.html Barbara Masucci - DIA Università di Salerno 18 Barbara Masucci - DIA Università di Salerno 19

6 LFSR: Crittoanalisi Known Plaintext Attack! conosce! testo in chiaro: M 0 M n! testo cifrato: Y 0 Y n! e può calcolare z 0 z n (z i = M i! Y i )! Se n!2m e conosce anche m, può computare i coefficienti c 0,c 1,,c m-1 e quindi l intera keystream Tutte le operazioni sono lineari! LFSR: Crittoanalisi [ z m+1, z m+2,..., z 2m ] = [ c 0, c 1,..., c m-1 ] " # m equazioni lineari in m incognite c 0, c m-1 z 1 z 2... z m z 2 z 3... z m z m z m+1 z 2m!1 % & LFSR: Crittoanalisi [ z m+1, z m+2,..., z 2m ] = [ c 0, c 1,..., c m-1 ] " # z 1 z 2... z m z 2 z 3... z m z m z m+1 z 2m!1!1 % & LFSR: Crittoanalisi La matrice inversa esiste se il determinante è diverso da zero 22 23

7 ! Ideato da Ron Rivest nel 1987! RC acronimo: Rivest Cipher, Ron s Code! Caratteristiche:! Chiave: lunghezza variabile (da 1 a 256 byte)! Semplice da implementare e da analizzare! Genera una keystream con periodo maggiore di 10100! Usa operazioni orientate ai byte! Tenuto secreto, comparve in forma anonima nel 1994! mailing-list CypherPunks e newsgroup sci.crypt! Allerged key! Implementato in numerosi prodotti! SSL/TLS per la comunicazione sicura sul Web! IEEE wireless LAN: WEP Keystream Testo in chiaro + traffico cifrato Testo cifrato : la chiave! Usa un vettore di byte S contenente una permutazione degli interi da 0 a 255! K[0] K[h-1] vettore della chiave, di h byte! S[0] S[255]! Inizializzazione S[i]=i, i=0,,255! 1 " h " 256 K[0] K[1] K[h-1] S[0] 0 1 S[255] 255 for i=0 to 255 do S[i]=i 26 27

8 : schedulazione chiave! K è usata per aggiornare il vettore S! Produce una permutazione, scambiando ciascun S[i] con un S[j], dipendente da S[i] e K[i mod h] : la keystream! Il vettore S è usato per generare la keystream j=0 for i=0 to 255 do j=(j+s[i]+k[i mod h]) mod 256; Swap(S[i],S[j]); S[0] S[1] S[t] S[i] S[j] S[255] + S[0] S[i] S[j] S[255] K=S[t] t=s[i]+s[j] mod : la keystream! Il vettore S è usato per generare la keystream i,j=0 while (true) i=i+1 mod 256; j=(j+s[i]) mod 256; k=s[t] Swap(S[i],S[j]); t=(s[i]+s[j]) mod 256; k=s[t] S[0] S[t] S[255]! Effettua lo XOR del byte k con il prossimo byte del testo in chiaro 30 31

9 32 33 Wired Equivalent Privacy (WEP/WEP2)! IEEE wireless LAN! Protocollo per garantire confidenzialità! Usa una chiave key condivisa tra utenti e access point lunga 40/104 bit (WEP-40, WEP-104) key IV, P! (IV,key) key Wired Equivalent Privacy (WEP/WEP2) Maggiori dettagli: IV original unencrypted packet checksum! WEP cifra un TCP/IP packet P con! IV Initialization Vector di 24 bit! Chiave K di : 8/16 byte K[0] K[7] IV key encrypted packet K[0] K[15] 34 35

10 WEP: attacchi! Fluhrer, Mantin, Shamir (2001)! Problema nella generazione della chiave in input a! Il problema non dipende da! Proposte modifiche a WEP per rendere vano l attacco! E. Tews, R. Weinmann, A. Pyshkin, Breaking 104- bit WEP in under a minute (2007)! packet, probabilità successo 50%! packet, probabilità successo 95% WEP: implementazioni attacchi Aircrack-ng! network software suite! detector! packet sniffer! WEP e WPA cracker (implementazione attacco PTW)! tool di analisi! incluso in BackTrack (rinominata backtrack-ng) Bibliografia Domande?! Cryptography and Network Security by W. Stallings, 2010! cap. 6 ()! Cryptography: Theory and Practice by D. Stinson (1995)! cap. 1 (autokey, LFSR)! Tesina di Sicurezza su reti! Crittografia classica a.a